在 Microsoft Defender 中管理事件
事件管理对于确保事件命名、分配和标记以优化事件工作流中的时间并更快地包含和解决威胁至关重要。
在快速启动Microsoft Defender门户 (security.microsoft.com) 时,可以从事件 & 警报>事件管理事件。 下面是一个示例。
下面是管理事件的方法:
- 编辑事件名称。
- 分配或更改严重性。
- 添加事件标记。
- 将事件分配给用户帐户。
- 解决这些问题。
- 指定其分类。
- 添加注释。
- 评估活动审核并在 活动日志中添加注释。
- 将事件数据导出为 PDF。
可以从事件的“管理事件”窗格管理事件。 下面是一个示例。
可以从以下位置上的 “管理事件 ”链接显示此窗格:
- 警报情景 页。
- 事件队列中事件的“属性”窗格。
- 事件的摘要页。
- 位于“事件”页面右上方的“管理事件”选项。
如果要将警报从一个事件移到另一个事件,也可以从“ 警报 ”选项卡执行此操作,从而创建包含所有相关警报的更大或更小的事件。
编辑事件名称
Microsoft Defender根据警报属性(例如受影响的终结点数、受影响的用户、检测源或类别)自动分配名称。 事件名称使你能够快速了解事件的范围。 例如: 多个源报告的多个终结点上的多阶段事件。
可以从“管理事件”窗格上的“ 事件名称 ”字段编辑 事件名称 。
注意
在推出自动事件命名功能之前存在的事件将保留其名称。
分配或更改事件严重性
可以从“管理事件”窗格的“严重性”字段中分配或更改事件的严重性。 事件的严重性由与其关联的警报的最高严重性决定。 事件的严重性可以设置为 高、 中、 低或 信息性。
添加事件标记
可以向事件添加自定义标记,例如,标记一组具有共同特征的事件。 以后可以对包含特定标记的所有事件的事件队列进行筛选。
开始键入后,将显示用于从以前使用的标记列表中进行选择的选项。
事件可以具有系统标记和/或具有特定颜色背景的自定义标记。 自定义标记使用白色背景,而系统标记通常使用红色或黑色背景色。 系统标记标识事件中的以下内容:
- 一 种攻击,如凭据钓鱼或 BEC 欺诈
- 自动操作,例如自动调查和响应以及自动攻击中断
- 处理事件的 Defender 专家
- 事件中涉及的关键资产
提示
Microsoft安全风险管理,基于预定义的分类,自动将设备、标识和云资源标记为关键资产。 这种开箱即用的功能可确保保护组织的宝贵和最重要的资产。 它还可帮助安全运营团队确定调查和修正的优先级。 详细了解 关键资产管理。
分配事件
可以选中“ 分配到 ”框,并指定要分配事件的用户帐户。 若要重新分配事件,请删除当前分配帐户,方法是选择帐户名称旁边的“x”,然后选择“ 分配到 ”框。 分配事件的所有权会将相同的所有权分配给与其关联的所有警报。
可以通过筛选事件队列来获取分配给你的事件列表。
- 在事件队列中,选择“ 筛选器”。
- 在 “事件分配 ”部分中,清除 “全选”。 选择 “分配给我”、“ 分配给其他用户”或“ 分配给用户组”。
- 选择“ 应用”,然后关闭“ 筛选器 ”窗格。
然后,可以在浏览器中将生成的 URL 保存为书签,以快速查看分配给你的事件列表。
解决事件
修正和解决事件后,从“状态”下拉列表中选择“已解决”。 解决事件还可以解决与事件相关的所有链接警报和活动警报。
将事件的状态更改为“ 已解决”时,“ 状态 ”字段后会显示一个新字段。 在此字段中输入说明,说明为何认为事件已解决。 此说明显示在事件的活动日志中,位于记录事件解决的条目附近。
在已解决事件的“事件队列”页和“事件”页上,可以在侧面板中的“ 事件详细信息 ”部分查看事件解决说明。
解决事件还可以解决与事件相关的所有链接警报和活动警报。 未解决的事件显示为 “活动”。
指定分类
在 “分类 ”字段中,指定事件是否为:
- 未 (默认) 设置。
- 具有某种威胁的真正值。 对于准确指示实际威胁的事件,请使用此分类。 指定威胁类型可帮助安全团队查看威胁模式,并采取措施以保护组织免受威胁。
- 具有某种类型活动的信息性预期活动。 使用此类别中的选项对安全测试、红队活动和受信任应用和用户的预期异常行为的事件进行分类。
- 对于确定的事件类型可以忽略的误报,因为它们在技术上不准确或具有误导性。
对事件进行分类并指定其状态和类型有助于优化Microsoft Defender XDR,以便随着时间的推移提供更好的检测确定。
添加备注
可以使用“注释”字段向事件添加多个 注释 。 注释字段支持文本和格式设置、链接和图像。 每个注释限制为 30,000 个字符。
所有注释都会添加到事件的历史事件中。 可以从“摘要”页上的“批注和历史记录”链接查看事件的批注和历史记录。
活动日志
活动日志显示对事件执行的所有注释和操作的列表,称为“审核和注释”。 用户或系统对事件所做的所有更改都记录在活动日志中。 活动日志可从事件页或事件端窗格中的“ 活动日志 ”选项获取。
可以按注释和操作筛选日志中的活动。 单击 “内容:审核”、“批注 ”,然后选择要筛选活动的内容类型。 下面是一个示例。
还可以使用活动日志中提供的注释框添加自己的注释。 注释框接受文本和格式设置、链接和图像。
将事件数据导出到 PDF
重要
本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
导出事件数据功能目前可供Microsoft Defender XDR和Microsoft具有安全许可证Microsoft Copilot的 SOC) 平台客户 (统一的安全操作中心使用。
可以通过“将事件导出为 PDF”函数将事件的数据 导出为 PDF ,并将其保存为 PDF 格式。 此函数允许安全团队在任何给定时间脱机查看事件的详细信息。
导出的事件数据包括以下信息:
下面是导出的 PDF 的示例:
如果你有 Copilot for Security 许可证,则导出的 PDF 包含以下附加事件数据:
Copilot 侧面板中也提供了导出到 PDF 功能。 在事件报告结果卡右上角选择“更多操作”省略号 (...) 时,可以选择“将事件导出为 PDF”。
若要生成 PDF,请执行以下步骤:
打开事件页面。 选择右上角的 “更多操作 ”省略号 (...) ,然后选择“ 将事件导出为 PDF”。
在接下来显示的对话框中,确认要在 PDF 中包含或排除的事件信息。 默认情况下会选择所有事件信息。 选择“ 导出 PDF ”以继续。
事件标题下方会显示一条指示下载当前状态的状态消息。 导出过程可能需要几分钟时间,具体取决于事件的复杂性和要导出的数据量。
此时会显示另一个对话框,指示 PDF 已准备就绪。 从对话框中选择“ 下载 ”,将 PDF 保存到设备。 事件标题下面的状态消息也会更新,以指示下载可用。
报表将缓存几分钟。 如果尝试在短时间内再次导出同一事件,系统会提供以前生成的 PDF。 若要生成较新版本的 PDF,请等待几分钟,让缓存过期。
后续步骤
对于新事件,请开始 调查。
对于进程内事件,请继续 调查。
对于已解决的事件,请执行 事后评审。
另请参阅
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。